Auf Industrieanlagen der ukrainischen Energiewirtschaft ist eine massive Cyberattacke verübt worden. Die unbekannten Täter, die der russischen Elite-Hackergruppe Sandworm zugerechnet werden, haben eine bislang unbekannte Malware namens «Industroyer2» eingesetzt. Dies hat die slowakische IT-Sicherheitsfirma Eset am Dienstag publik gemacht.
Mit «Industroyer2» wurden Umspannwerke in der Ukraine attackiert, wie das renommierte IT-Sicherheitsunternehmen Eset am Dienstag mitteilte. Ziel der Hacker sei «die Stilllegung der Infrastruktur» gewesen. Sprich: Die Angreifer versuchten, die Stromversorgung zu unterbrechen und als Worst-Case-Szenario einen Blackout zu verursachen.
Der Angriff konnte mit vereinten Kräften gerade noch rechtzeitig vereitelt werden, wobei ein staatliches IT-Sicherheitsteam, das Computer Emergency Response Team of Ukraine (CERT-UA), eine zentrale Rolle spielte, wie aus dem Blog-Beitrag von Eset hervorgeht (dazu unten mehr).
Laut BBC-Bericht zielte der Angriff auf eines der grössten Energieversorgungsunternehmen des Landes und es wurde versucht, Umspannwerke abzuschalten, was zu Stromausfällen für zwei Millionen Menschen geführt hätte.
Es ist der bisher schwerste Cyber-Angriff gegen die Ukraine seit der russischen Invasion am 24. Februar.
Das zuständige ukrainische Ministerium sprach Microsoft und Eset in einer Mitteilung «seinen besonderen Dank» aus für die Hilfe «bei der Identifizierung und Neutralisierung der bei dem Angriff verwendeten Schadsoftware».
Die Cyberattacke erinnert an einen früheren Angriff aus dem Jahr 2016. Damals gelang es mutmasslich zum russischen Militärgeheimdienst GRU gehörenden Hackern, die ukrainische Stromversorgung mit Schadsoftware lahmzulegen. Die damals entdeckte Malware wurde «Industroyer» getauft, da sie in der Lage war, industrielle Steuerungen zu manipulieren.
Die IT-Sicherheitsexperten schreiben:
Tatsächlich waren seit Anfang 2022 mehrere Angriffswellen mit zerstörerischer Malware auf ukrainische IT-Systeme zu beobachten. Dabei kamen mehrmals sogenannte «Wiper» zum Einsatz, um auf infiltrierten Rechnern Daten zu löschen und Computernetzwerke ausser Betrieb zu setzen.
Der Schaden hielt sich nicht zuletzt dank der mit westlicher Hilfe aufgerüsteten IT-Abwehr der Ukrainer in Grenzen. Das Land gilt als Vorreiter in Sachen Cybersecurity, da es seit Jahren von russischen Hackerangriffen betroffen ist.
Im Eset-Firmenblog verraten die IT-Sicherheitsfachleute einige Details zu dem kürzlich entdeckten Angriff, wobei die Untersuchungen allerdings noch immer am Laufen sind:
Weiter schreiben die erfahrenen Cybersecurity-Spezialisten, die seit dem russischen Überfall auf die Ukraine mehrere Cyberwaffen, bzw. neue Malware, analysiert haben:
Trotz enormer Anstrengungen zur Sicherung der Energieorganisationen im Land seien die Hacker in der Lage gewesen, ein Privatunternehmen zu kompromittieren. Der Name des betroffenen Unternehmens wird nicht genannt.
Die IT-Sicherheitsspezialisten von Eset schreiben, sie gingen «mit grosser Zuversicht davon aus, dass die APT-Gruppe Sandworm für diesen neuen Angriff verantwortlich ist».
Die IT-Experten von Eset sind höchst zurückhaltend, wenn es um die Zuordnung (Attribution) solcher Attacken geht. Ihre Formulierung lässt darauf schliessen, dass es sich mit grösster Wahrscheinlichkeit um die russischen Elite-Hacker handelt, die als «Sandworm» seit Jahren ihr Unwesen treiben und als besonders versiert gelten in Sachen Cyber-Sabotage.
Dass es sich bei Sandworm um eine aus Russland heraus agierende Gruppe handeln müsse, war schon lange vermutet worden. Aber es dauerte laut Eset bis ins Jahr 2020, bis das US-Justizministerium Sandworm konkret als die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes identifizierte.
In der öffentlich einsehbaren Anklageschrift wurden mehrere russische GRU-Hacker namentlich genannt, die für verheerende Cyberangriffe verantwortlich sein sollen.
Die Anklagepunkte reichten vom Industroyer-Angriff auf die ukrainische Energieversorgung 2016, über Cyberangriffe auf die Olympischen Spiele 2018 mit der Malware «Olympic Destroyer», bis zur Verbreitung des NotPetya-Wurms 2017, der weltweit Windows-Computer infizierte, Unternehmen wie die grösste Containerschiff-Reederei Maersk lahmlegte und mehr als 10 Milliarden Dollar Schaden anrichtete.
Sandworm wird auch beschuldigt, Stromausfälle verursacht zu haben, von denen 2015 mehr als 200'000 Haushalte in einer Reihe von Städten in der Ukraine betroffen waren.
Russland bestreitet, hinter den massiven Cyber-Angriffen zu stecken, doch wurden beide Vorfälle von Vertretern der USA und der EU öffentlich Sandworm angelastet.
Staatliche Organisation, nationale Cybersecurity-Teams und ihre Partner aus der Privatwirtschaft sind wegen Russland schon länger in Alarmbereitschaft und rechnen auch selber mit Cyberattacken auf kritische Infrastrukturen.
Der vereitelte Angriff auf die ukrainische Stromversorgung dürfte IT-Verantwortliche nun zusätzlich auf Trab halten. Sicherheitsexperten rund um den Globus suchen derzeit in den eigenen Netzwerken nach verdächtigen Spuren.
Um festzustellen, ob eine ähnliche Bedrohung für andere ukrainische Organisationen besteht, wurden die Informationen mit internationalen Partnern und anderen Unternehmen aus dem ukrainischen Energiesektor geteilt.
